Publicado: Nov 26, 2018
O AWS Key Management Service (KMS) se integrou ao AWS CloudHSM para que você tenha a opção de criar o próprio armazenamento de chaves personalizadas KMS. Cada armazenamento de chaves personalizadas conta com o suporte de um cluster AWS CloudHSM e permite gerar, armazenar e usar suas chaves KMS em módulos de segurança de hardware (HSMs) controlados por você. O armazenamento de chaves personalizadas KMS ajuda a cumprir as obrigações de conformidade que, de outra forma, exigiriam o uso de HSMs no local, além de oferecer suporte aos serviços da AWS e aos kits de ferramentas de criptografia que são integrados ao KMS.
Graças a este novo recurso, você pode gerar chaves mestras personalizadas (CMKs) KMS da AWS e guardá-las em um armazenamento de chaves personalizadas em vez de no armazenamento de chaves KMS padrão. Cada armazenamento de chaves personalizadas KMS é criado mediante o uso de instâncias do HSM em um cluster AWS CloudHSM que você possui e pode gerenciar independentemente do KMS. Ao usar uma CMK KMS em um armazenamento de chaves personalizadas, as operações de criptografia nesta chave são executadas exclusivamente em seu cluster CloudHSM. As chaves mestras guardadas em um armazenamento de chaves personalizadas são gerenciadas da mesma maneira que qualquer outra chave mestra no KMS e podem ser usadas por qualquer serviço da AWS que criptografe dados e que ofereça suporte a CMKs personalizadas gerenciadas pelo KMS.
O uso de um armazenamento de chaves personalizadas não afeta as cobranças do KMS para armazenar e usar uma CMK. No entanto, ele envolve o custo adicional de manutenção de um cluster CloudHSM com no mínimo dois HSMs. Consulte os preços do AWS CloudHSM.
Consulte mais informações nas Perguntas frequentes sobre um armazenamento de chaves personalizadas KMS e leia este blog para saber se os armazenamentos de chaves personalizadas são uma boa opção para suas necessidades.